Πρόσφατα αποκαλύφθηκαν δύο zero-day ευπάθειες στην εικονική ιδιωτική δικτύωση (VPN) Ivanti Connect Secure (ICS), τις οποίες τις εκμεταλλεύονται hackers για την ανάπτυξη του κακόβουλου λογισμικού KrustyLoader.

Αυτές οι ευπάθειες χρησιμοποιήθηκαν για την εισαγωγή ενός κακόβουλου φορτίου που βασίζεται στη γλώσσα προγραμματισμού Rust, γνωστού ως KrustyLoader, το οποίο χρησιμοποιείται για την ανάπτυξη του ανοιχτού κώδικα εργαλείου προσομοίωσης Sliver.

Δείτε ακόμα: ZLoader: Νέα παραλλαγή του κακόβουλου λογισμικού συμβατότητή με 64-bit Windows

Τα ευάλωτα σημεία ασφαλείας, γνωστά ως CVE-2023-46805 (βαθμολογία CVSS: 8,2) και CVE-2024-21887 (βαθμολογία CVSS: 9,1), μπορούν να εκμεταλλευτούν ταυτόχρονα για να προκαλέσουν μη επαληθευμένη απομακρυσμένη εκτέλεση κώδικα σε ευαίσθητες συσκευές.

Από τις 26 Ιανουαρίου, οι ενημερώσεις του κώδικα για τα δύο ελαττώματα έχουν καθυστερήσει, παρόλο που η εταιρεία λογισμικού έχει κυκλοφορήσει μια προσωρινή διόρθωση μέσω ενός αρχείου XML.

Η εταιρεία Volexity, που πρώτη αποκάλυψε τις ευπάθειες, ανέφερε ότι αυτές οι ευπάθειες έχουν εκμεταλλευτεί ως zero-days από τις 3 Δεκεμβρίου 2023, από μια κινέζικη ομάδα γνωστή ως UTA0178.

Η Mandiant, η οποία ανήκει στην Google, έχει αναθέσει σε αυτή την ομάδα το ψευδώνυμο UNC5221.

Μετά τη δημόσια αποκάλυψη αυτό τον μήνα, τα ευάλωτα σημεία έχουν εκμεταλλευτεί ευρέως από αντίπαλους προκειμένου να απομακρύνουν τους εξορύκτες του κρυπτονομίσματος XMRig και το κακόβουλο λογισμικό που βασίζεται στη Rust.

Δείτε επίσης: Τέλος στις επιθέσεις Ransomware μέσω Zero-Day ευπαθειών;

Η ανάλυση της Synacktiv για το κακόβουλο λογισμικό Rust, γνωστό ως KrustyLoader, αποκάλυψε ότι λειτουργεί ως φορτωτής για τη λήψη του Sliver από έναν απομακρυσμένο διακομιστή και την εκτέλεσή του στον παραβιασμένο κεντρικό υπολογιστή. Η ανάλυση αυτή αποτελεί μια σημαντική απόκτηση γνώσης για την κατανόηση του τρόπου λειτουργίας αυτού του κακόβουλου λογισμικού και των πιθανών απειλών που μπορεί να προκαλέσει. Το Sliver, που αναπτύχθηκε από την εταιρεία κυβερνοασφάλειας

BishopFox, είναι ένα πλαίσιο μετα-εκμετάλλευσης βασισμένο στο Golang, το οποίο έχει αναδειχθεί ως μια προσοδοφόρα επιλογή για τους φορείς απειλών σε σύγκριση με άλλες γνωστές εναλλακτικές λύσεις όπως το Cobalt Strike.

Με βάση μια έκθεση του Recorded Future που δημοσιεύτηκε πρόσφατα, το Cobalt Strike συνεχίζει να θεωρείται το κορυφαίο εργαλείο ασφαλείας που χρησιμοποιείται σε υποδομές που έχουν πέσει θύματα εισβολής το 2023. Στη συνέχεια ακολουθούν το Viper και το Meterpreter.

Διαβάστε περισσότερα: Kaspersky: Κακόβουλο λογισμικό Mac στοχεύει κρυπτονομίσματα

Τόσο το Havoc όσο και το Mythic έχουν γίνει επίσης αρκετά δημοφιλή, αλλά εξακολουθούν να παρατηρούνται σε πολύ χαμηλότερο βαθμό σε σχέση με το Cobalt Strike, το Meterpreter ή το Viper, σύμφωνα με την εταιρεία. “Τέσσερα ακόμα γνωστά πλαίσια είναι τα Sliver, Havoc, Brute Ratel (BRc4) και Mythic.”

Πηγή: thehackernews.com